Firefox viene equipado con dos características que dejan inútil el sistema de filtrado de webs que utilizan las operadoras. Se trata de DNS-over-HTTPS (DoH) y Encrypted Server Name Indication (ESNI). Vamos a activarlas y comprobar cómo el sistema de filtrado de Movistar se queda sin poder hacer nada.

Probando cómo Movistar bloquea pirlotvonline.net

Para empezar vamos a intentar acceder desde Movistar a la web pirlotvonline.net, una de las que fueron prohibidas, para comprobar como su servidor de filtrado FortiGate entra en acción y nos deja con un falso error 404:

ERROR 404 - File not found

Qué hacen DoH y eSNI

Para dejar ciego al sistema de filtrado vamos a activar DoH y ESNI. El primero hace que el navegador no use los DNS que tenemos configurados en nuestro equipo o el router, sino que resolverá los dominios mediante peticiones HTTPS, lo que hace que la operadora no pueda diferenciar el tráfico de resolución de nombres de la navegación web normal. El segundo es una extensión para solucionar el que ha resultado ser el talón de Aquiles de las webs HTTPS, el envío del nombre del host en el SNI en texto plano, que con ESNI pasa a estar cifrado.

Activando eSNI



  1. Introducimos about:config en la barra de direcciones para entrar en las preferencias de configuración avanzada de Firefox.
  2. Pulsamos Aceptar el riesgo y continuar para ignorar el aviso.
  3. En la barra de búsqueda introducimos network.security.esni.enabled.
  4. Pulsamos sobre ⇌ para cambiar el valor de false a true.



Activando DoH




  1. En la barra de búsqueda de la configuración avanzada de Firefox introducimos network.trr.mode.
  2. Cambiamos el valor 0por 2



Puedes ver el significado de cada uno de los valores aquí.

Probando cómo Movistar ya no puede bloquear pirlotvonline.net

Lo primero que vamos a hacer es acceder a la web de prueba de Cloudflare que nos dirá si ahora nuestro navegador ya está utilizando DoH y ESNI. Aunque ESNI y DoH son dos cosas totalmente independientes, en Firefox por alguna razón solo funciona ESNI si está DoH activado.
A partir de ese momento podemos introducir en la barra de direcciones pirlotvonline.net para comprobar como mágicamente podemos acceder a ella.

Por qué no funciona con todas las webs

Lo que cuento en este post puede sonar maravilloso, pero no lo es tanto cuando compruebes que no funciona con muchas webs. Funciona con el ejemplo que hemos seleccionado porque está alojado en Cloudflare, que por defecto tiene ESNI activado en todas las webs que aloja. Es decir, ESNI sólo nos va a proteger si tanto nuestro navegador como el servidor lo soportan. Sabiendo esto, ESNI no es ahora mismo la panacea para saltarse el bloqueo de webs, pero si nos permite ver que en el futuro las operadoras no van a tener más remedio que convertirse en dumb pipes ignorando lo que transportan, ya que cuando ESNI se generalice no habrá forma de saber dónde están accediendo los usuarios.